9. Kết cấu của Luận văn
3.4.5.4 Chuyển giao công nghệ để có thể nhanh chóng chủ động sản xuất được một
được một số loại sản phẩm AT&BM quan trọng trong thời gian ngắn
Các sản phẩm AT&BM là những sản phẩm kết tinh của nhiều lĩnh vực khác nhau (điện tử, viễn thông, an toàn, bảo mật) và phải theo kịp sự phát
96
triển của những lĩnh vực đó. Là một nước đang phát triển vừa mới thoát ra khỏi nhóm các nước chậm phát triển, nước ta còn một khoảng cách khá xa so với các nước phát triển về công nghệ. Do vậy để có thể có được các sản phẩm AT&BM theo kịp sự phát triển của lĩnh vực điện tử, viễn thông thì chuyển giao công nghệ sẽ là con đường ngắn nhất để làm chủ KH&CN.
3.5 Kết luận Chƣơng 3
Trong những năm qua, chính sách KH&CN đã có các tác động đến việc nghiên cứu, sản xuất và ứng dụng các sản phẩm AT&BM. Các tác động đó đã được tìm hiểu trong Chương này từ các góc nhìn khác nhau, từ nhận thức về vấn đề AT&BM cho đến xem xét khía cạnh hình thành ngành công nghiệp sản xuất các sản phẩm AT&BM.
Với mỗi chính sách luôn tồn tại hai mặt, đây là tính tất yếu khách quan không thể phủ nhận. Bên cạnh những mặt tích cực mà mỗi chính sách đem lại, thì những tác động không mong muốn cũng không thể không có, trong đó một số vấn đề có thể được giải quyết, một số vấn đề được giải quyết phần nào và có những vấn đề không thể giải quyết được. Song việc nắm rõ những mặt trái mà mỗi chính sách có thể gây ra giúp ta có thể lường trước được, giảm thiểu những tốn thất có thể có. Một số khoảng trống và chưa phù hợp trong hệ thống chính sách đã ban hành cũng được nhận diện trong Chương này để làm cơ sở cho đề xuất các chính sách KH&CN có liên quan thúc đẩy ngành công nghiệp AT&BM ở nước ta trong tiến trình hội nhập quốc tế trong giai đoạn từ nay đến năm 2020.
Các sản phẩm AT&BM không tồn tại độc lập mà tồn tại trong các HTTT và phải phát triển đồng bộ với sự phát triển của kỹ thuật tính toán, CNTT, viễn thông... Do vậy, để đề xuất chính sách sát với thực tế, Luận văn đã căn cứ vào các dự báo phát triển đến năm 2020 của những ngành, lĩnh vực
97
có quan hệ mật thiết với các sản phẩm AT&BM.
Trong khuôn khổ hạn hẹp của một Luận văn thì khó có thể đề xuất một cách đầy đủ các chính sách KH&CN cần thiết, song Luận văn cố gắng đưa ra những nhóm chính sách có tác động trực tiếp đến việc phát triển các sản phẩm AT&BM ở nước ta trong những năm tới, đáp ứng được những đòi hỏi của nước ta trong quá trình hội nhập và phát triển.
98
KẾT LUẬN
Các HTTT ngày nay đóng vai trò quan trọng trong đời sống kinh tế, chính trị của mỗi quốc gia nói chung và Việt nam nói riêng. Các hệ thống này luôn là đối tượng phá hoại của nhiều loại tội phạm trên phạm vi toàn cầu. Phòng chống có hiệu quả các loại phá hoại nhằm vào HTTT nói chung và các HTTT thiết yếu của quốc gia nói riêng trở nên một nhiệm vụ cấp bách của mọi quốc gia.
Các sản phẩm AT&BM có vai trò rất quan trọng trong việc bảo vệ các HTTT và là thành phần không thể thiếu trong các Hệ thống này.
Các sản phẩm AT&BM luôn gắn chặt cùng các công nghệ hiện đại và được phát triển rất nhanh. Với đặc điểm nước ta đi lên từ một nước nông nghiệp thì để sản xuất được các sản phẩm AT&BM có chất lượng cao, đáp ứng nhu cầu ứng dụng trong nước và từng bước có thể xuất khẩu đem lại nguồn thu ngoại tệ cho đất nước là thách thức cho các nhà làm chính sách KH&CN nước ta.
Luận văn đã tập trung nghiên cứu tác động của chính sách KH&CN đối với việc phát triển các sản phẩm AT&BM ở nước ta và đề xuất xây dựng, hoàn thiện chính sách KH&CN đến năm 2020 để thúc đẩy phát triển ngành công nghiệp AT&BM trong tiến trình hội nhập quốc tế.
Để giải quyết vấn đề đặt ra, Luận văn đã tập trung vào các nội dung sau: - Tìm hiểu những nền tảng cơ bản để phát triển lĩnh vực AT&BM. Đó là những căn cứ khoa học để đề xuất chính sách cho phù hợp.
- Nghiên cứu những tác động của chính sách KH&CN đối với vấn đề phát triển các sản phẩm AT&BM dưới các góc độ khác nhau. Để có được các thông tin mới và tin cậy, nhiều phương pháp thu thập thông tin khác nhau đã được áp dụng.
- Đề xuất một số chính sách quan trọng đến năm 2020 để thúc đẩy phát triển các sản phẩm AT&BM trên cơ sở lý thuyết và thực tiễn.
99
KHUYẾN NGHỊ
Từ kết quả nghiên cứu một số khuyến nghị sau đây được đề xuất:
1. Áp dụng chuẩn ISO 27001:2005
Mục đích của ISO 27001:2005 nhằm thiết lập, vận hành và nâng cấp hệ thống quản lý an toàn thông tin cho tổ chức. Để có được Chứng chỉ công nhận đạt chuẩn ISO 27001:2005 là rất tốn kém (riêng chi phí tư vấn cũng đã tiêu tốn từ 30.000 - 50.000 USD). Đối với những tổ chức mà nguồn lực tài chính chưa đủ để tiến hành áp dụng chuẩn này trong phạm vi rộng thì có thể thực hiện triển khai áp dụng từng bước với phạm vi mở rộng dần, với một lộ trình hợp lý. Ngoài ra, còn có một lựa chọn nữa để giảm chi phí là đơn vị tự áp dụng chuẩn này nhưng không hoặc chưa tiến hành xin đánh giá cấp giấy chứng nhận.
2. Ban hành chuẩn
Sử dụng các chuẩn AT&BM tiên tiến trên thế giới làm chuẩn sử dụng tại Việt nam sẽ tiết kiệm một cách đáng kế chi phí nghiên cứu và xây dựng chuẩn, đồng thời cũng rút ngắn thời gian ban hành chuẩn. Tuy nhiên, khi sử dụng các chuẩn này cần có những xem xét cụ thể để chúng phù hợp với điều kiện của Việt nam.
3. Xác định rõ cơ quan có thẩm quyền kiểm định và cấp phép sử dụng các sản phẩm AT&BM sử dụng trong khu vực nhà nƣớc.
Hiện nay việc sử dụng các sản phẩm AT&BM trong các cơ quan nhà nước còn tùy tiện. Các sản phẩm AT&BM được vào sử dụng tràn lan mà không cần được cấp phép hay kiểm soát của bất kỳ cơ quan nào. Vì vậy, cần nhanh chóng xác định rõ cơ quan nào được phép cấp phép cho các sản phẩm sử dụng tại các cơ quan nhà nước. Phù hợp hơn cả, chức năng này nên giao cho Ban Cơ Yếu Chính phủ, cơ quan chuyên ngành trong lĩnh vực AT&BM của Chính phủ.
100
DANH MỤC TÀI LIỆU THAM KHẢO
1. Vũ Cao Đàm (2008), Giáo trình Khoa học chính sách, Nhà xuất bản Đại học Quốc gia Hà Nội, Hà Nội
2. Vũ Cao Đàm (2008), Phương pháp luận nghiên cứu khoa học, Nhà xuất bản Đại
học Quốc gia Hà Nội, Hà Nội
3. Nguyễn Nam Hải (2005), Giáo trình an toàn mạng, Học viện kỹ thuật mật mã,
Hà Nội
4. Nguyễn Nam Hải (2001), Từ điển an toàn thông tin, Nhà xuất bản Khoa học và
Kỹ thuật, Hà Nội
5. Douglas Stinson (1995), Cryptography: Theory and Practice, CRC Press, New
York
6. Edward Dawson, Andrew Clark, Colin Boyd (2000), Information Security and Privacy, Springer, Brisbane
7. Ghegzda D.P, Ivasko A.M (2001), Các cơ sở an toàn cho các Hệ thống thông
tin, Nhà xuất bản Khoa học, Matxcơva
8. Phương Nam (2008), Đi tìm chuyên gia an ninh mạng, Nhịp sống số, số 15, tháng 11/2008, tr 16-17
9. Tạ Tiến Quang (2008), Hệ thống an ninh bảo mật mạng, Tạp chí Xã hội thông
tin, số tháng 9/10.2008, tr 38-39
10. ISO/IEC 15408 (1999), Tổ chức Tiêu chuẩn hóa quốc tế
11. Tạp chí An toàn Thông tin số 3 (004) (2007), Ban Cơ yếu Chính phủ, Hà Nội
12. Tạp chí An toàn Thông tin số 4 (005) (2007), Ban Cơ yếu Chính phủ, Hà Nội
13. Tạp chí An toàn Thông tin số 1 (006) (2008), Ban Cơ yếu Chính phủ, Hà Nội
14. Tạp chí An toàn Thông tin số 2 (007) (2008), Ban Cơ yếu Chính phủ, Hà Nội
15. Tạp chí An toàn Thông tin số 3 (008) (2008), Ban Cơ yếu Chính phủ, Hà Nội
16. Tạp chí An toàn Thông tin số 1+2 (010) (2009), Ban Cơ yếu Chính phủ, Hà Nội
17. Thông cáo báo chí.
http://www.securityworld.com.vn/hn2009/uploads/home/ThongCaoBaoChi.htm
18. Tường Vi, Website Liên hiệp quốc bị hack,
http://nhipsongso.tuoitre.com.vn/Index.aspx?ArticleID=91342&ChannelID=16
19. Nguyễn Hằng, Website nhà nước bị lỗ hổng nghiêm trọng
http://www.vnexpress.net/GL/Vi-tinh/2007/01/3B9F2276/
20. http://www.commoncriteria.nl
101
PHẦN PHỤ LỤC
Phụ lục 1:
BẢNG HỎI KHẢO SÁT TÌNH HÌNH AT&BM
(Kèm theo Công văn số …… ngày………… của………)
PHẦN 1. CÁC THÔNG TIN CƠ BẢN
1. Số lượng máy trạm được sử dụng tại cơ quan: .... ….. chiếc 2. Những loại hệ điều hành được sử dụng cho máy trạm?
Linux
Win 98
Win XP
Win Vista
Khác:……… 3. Số lượng máy chủ được sử dụng tại cơ quan: .... ….. chiếc
4. Loại hệ điều hành cho máy chủ?
Linux Unix Win NT Win 2003 Win 2008 Khác:…… 5. Loại đường truyền kết nối ra Internet?
Leased Line
ADSL IP động
ADSL IP tĩnh
Khác:
6. Có vùng DMZ không? Nếu có thì những dịch vụ nào sau đây được dùng?
. Mail Server
Web Server
Application Server
Khác:………… 7. Người dùng có được truy cập Internet trong khi làm việc không ?
Có Không
8. Đối tác bên ngoài hoặc khách hàng có được truy cập vào mạng nội bộ của cơ quan thông qua Internet?
Có Không
9. Cơ quan có dịch vụ ứng dụng tương tự như là một cổng thông tin hoặc một website cho khách hàng hoặc cho đối tác?
Có Không
10. Đối tác bên ngoài hoặc khách hàng có được kết nối trực tiếp đến mạng nội bộ của cơ quan, hệ thống trợ giúp cho mục đích truy cập dữ liệu, cập nhật báo cáo, hoặc các thao tác thông tin khác?
Có Không
102
Có Không
12. Ngoài những dữ liệu sao lưu, tổ chức có cho phép xử lý những dữ liệu bí mật và độc quyền trên mạng không?
Có Không Không biết
13. Hệ thống bảo mật bị làm hại thì nó có ảnh hưởng đến công việc của tổ chức hay không?
Có Không Không biết
14. Quy trình hoạt động có yêu cầu lưu trữ dữ liệu, xử lý hoặc được phân phối bởi một bên thứ ba?
Có Không Không biết
15. Tổ chức có xem xét xử lý dữ liệu bởi những ứng dụng nhạy cảm hoặc quan trọng của tổ chức tới hoạt động của khách hang hoặc đối tác không?
Có Không Không biết
16. Hệ thống mạng của tổ chức có kết nối tới hệ thống mạng của khách hàng, đối tác hoặc bên thứ ba thông qua mạng Internet hoặc đường thuê riêng không?
Có Không Không biết 17. Cơ quan có thường xuyên thay đổi thành phần công nghệ chủ yếu không?
Có Không Không biết
18. Cơ quan của bạn có thực hiện việc outsource của bất kỳ phần nào trong cơ sở hạ tầng không?
Có Không Không biết 19. Tổ chức có khả năng mở rộng thêm mạng mới trên hệ thống đã có sẵn không?
Có Không Không biết
20. Tổ chức có cho hạn chế việc truy cập vào hệ thống thông tin bằng user mà dựa trên vai trò của họ không?
Có Không Không biết 21. Tổ chức có dịch vụ nào chỉ phục vụ cho người sử dụng nội bộ không ?
Có Không
Nếu có, xin liệt kê hoặc mô tả các dịch vụ sử dụng: ……… ……… ………
PHẦN 2. HỆ THỐNG AN TOÀN VÀ BẢO MẬT I/ Hệ thống phòng thủ vành đai
1. Có sử dụng Firewall hay các hệ thống điều khiển truy cập trên lớp mạng để bảo vệ những tài nguyên chung trong tổ chức hay không?
103
Có Không 2. Firewall có được đặt tại mỗi phòng/ ban không?
Có Không 3. Loại Firewall?
Có Không
4. Hãng sản xuất Firewall, version:……… 5. Trong tổ chức có sử dụng FileWall cá nhân (hot-base) để bảo vệ máy chủ?
Có Không
6. Trong tổ chức có sử dụng phần mềm hay phần cứng phát hiện đột nhập trái phép (IDS) không?
Có Không 7. Kiểu IDS sử dụng trong tổ chức:
Network-based IDS (NIDS) Host-based IDS (HIDS) 8. Loại IDS?
Mềm Cứng
9. Hãng sản suất IDS:……… version:……… 10. Chọn giải pháp chống virus được triển khai?
Không triển khai
E-mail servers
Desktops
Servers
Perimeter hosts (gateways, proxies, relays, etc.)
11. Có thể truy cập từ xa tới mạng của tổ chức hay không?
Có Không 12. Những người có quyền truy cập từ xa
Nhân viên Đối tác hay khách hàng 13. Có sử dụng mạng VPN cho việc kết nối từ xa không?
Có Không 14. Có sử dụng dịch vu quarantine cho dịch vụ VPN?
Có Không 15. Kiểu sát thực đối với người dùng ở xa?
104
Tokens
smart cards
Username/password
Khác: ………. 16. Có bao nhiêu Subnet tại tổ chức?...
17. Có sử dụng các subnet để tách biệt khách hàng và dịch vụ bên ngoài với những tài nguyên của tổ chức hay không?
Có Không
18. Trong tổ chức có chia những máy tính có vai trò và sự phục vụ như nhau vào cùng một phân vùng hay không?
Có Không
19. Có thể kết nối không dây (wireless) tới mạng được không?
Có Không
20. Loại kiểm soát bảo mật nào được sử dụng để bao mật cho mạng không dây?
Xác thực bằng SSID
Vô hiệu hóa chức năng quảng bá số hiệu SSID
Kích hoạt giao thức bảo mật WEP (Wired Equivalent Privacy)
Kích hoạt giao thức bảo mật WPA (Wi-Fi Protected Access)
Kích hoạt chức năng hạn chế truy cập bằng địa chỉ MAC
Kết nối access point tới mạng bên ngoài bằng Firewall hay bằng một phân vùng từ mạng có dây
II/ Xác thực
21. Chỉ ra phương pháp xác thực được sử dụng cho việc truy cập của người quản trị tới các thiết bị quản lý và các máy tính:
Xác thực đa nhân tố
Không có
Mật khẩu đơn giản
Mật khẩu phức tạp
22. Chỉ ra phương pháp xác thực được sử dụng cho mạng nội bộ và truy cập vào các máy tính bởi những người dùng nội bộ:
Xác thực đa nhân tố
Không có
105
Mật khẩu phức tạp
23. Chỉ ra phương pháp xác thực được sử dụng cho kết nối từ xa bởi người dùng:
Xác thực đa nhân tố
Không có
Mật khẩu đơn giản
Mật khẩu phức tạp
24. Có thể hay không ngăn chặn truy cập tới tài khoản người dùng sau một số lần cố gắng truy cập bị lỗi?
Có Không
III/ Quản lý và giám sát
25. Tổ chức tự cấu hình hệ thống của mình hay cấu hình bởi nhà cung cấp?
Cấu hình bởi nhân viên của tổ chức
Cấu hình bởi nhà cung cấp
26. Giải pháp nào sau đây được sử dụng trên máy để bàn và máy xách tay?
Phần mềm Firewall cá nhân
Phần mềm phát hiện và diệt Spyware
Phần mềm mã hóa ổ đĩa
Phần mềm kiểm soát và quản lý từ xa
Bảo vệ màn hình bắng mật khẩu
Modem
27. Trong tổ chức có quy trình phản ứng lại những sự việc vi phạm an ninh xảy ra hay không?
Có Không Không biết
28. Trong tổ chức có chính sách và quy trình thông báo các vấn đề an toàn hoặc những sự việc vi phạm an ninh xảy ra hay không?
Có Không Không biết
IV/ Các ứng dụng
29. Tổ chức có các thủ tục cho việc cập các lỗ hổng bảo mật hay không?
106
30. Những ứng dụng chính và tài liệu hoạt động quan trọng có được mã hoá trong quá trình xử lý?
Có Không Không biết 31. Việc mã hoá được sử dụng cho quá trình nào dưới đây:
Việc truyền và lưu trữ dữ liệu
Việc truyền dữ liệu
Lưu trữ dữ liệu
32. Thuật toán mã hoá nào dưới đây được sử dụng?
Data Encryption Standard (DES)
Triple DES (3DES)
RC2, RC4, or RC5
SHA-1 Hash
MD5 Hash
Twofish
Blowfish
Thuật toán tự xây dựng
Advanced Encryption Standard (AES4) /Rijndael
Không biết
V/ Thao tác
33. Có thường xuyên kiểm tra vấn đề an ninh tổ chức không?